1.2.4 网络个体行为研究现状

1.主机系统级安全监测研究

通过研究基于恶意软件共性特征检测主机是否感染恶意软件，需要采集僵尸网络的DNS、TCP流量和进程等数据样本，主机必须安装代理软件，分析感染恶意软件主机的行为表现。采用基于知识库的检测方法，可以将主机的对外流量分为期望和不期望，实现异常流量检测。常见的主机流量特征包括主机流数、发送包数、发送字节数、持续时间、端口数、TCP流数、UDP流数、SMTP流数、字节数方差、数据包数方差、持续时间方差、数据包均值和持续时间均值等特征。

还可以通过分析API调用序列和系统资源使用等数据实现主机检测，这种技术同样受限于系统权限和软硬件版本，软件部署和应用难度大。上述方法主要通过分析系统特权进程的系统调用序列、操作系统审计日志以及系统文件和目录完整性来检测主机系统行为是否异常。可见，通过分析主机系统状态实现主机检测的研究工作大多依赖于安装代理软件。利用安全防护软件采集主机属性以分析和研究主机安全性，具有较强的平台依赖性。然而，在主机沦陷后，攻击者获取了系统最高权限，执行数据窃取行为，一旦该主机系统状态的变化不足以发现受害主机的恶意网络行为，主机网络行为异常就是发现数据泄露的关键。

2.主机网络级安全检测研究

Lee等人采用了数据包级、网络流级和主机级的特征描述主机网络行为，抽取了特征集，即发送字节数、接收字节数、单向和双向的源地址数、目的端口数和邻居主机数，并在某高校流量数据中进行了验证，根据特征的标准偏差和均值的相对变化发现网络中的重要主机。苏璞睿和冯登国等人通过基因规划构建主机异常入侵检测模型，尝试对检测模型的准确性和效率进行改进。皮建勇和刘心松等人利用有向无环图，定义了基于访问控制的主机异常检测模型。

于晓聪等人采用熵值法发现流量的异常点，而后以主机通信模式的相似性确认“僵尸”。该研究以企业级网络为背景流量，结合实验环境构建了两个僵尸网络平台，并抽取了主机通信模式特征：总数据包数、总字节数、平均每个数据包的字节数。Arshad等人从Botnet本质特征（NetFlow特征）的相似性在一定时间窗口发生攻击行为的角度，定义了高速网络中采用两步聚类和相关性的方法识别感染Botnet的主机。Fawcett等人通过计算数据包载荷大小的熵值有效识别加密流量，并能够在三种不同的数据集中，利用随机数算法从正常的流量中区分数据泄露。Wei等人采用某高校流量对主机网络行为特征进行聚类分析，有效检测Slammer爆发和感染主机，提出特征集：主机IP、与主机通信的去重IP地址数、主机所发送的总字节数（TCP和UDP）、TTL均值、开放端口列表、主机发起的目的IP、字节数、平均持续时间和平均包数、主机通信相似性。李川等人定义了采用复杂网络的度、自网络包含的边数、参与三角形个数3个基本特征，研究网络结构的演化过程，实现动态网络的角色预测，并将静态网络的角色发现扩展至动态网络。

Karagiannis等人将主机行为划分为社会层、功能层和应用层，基于上述3层研究主机通信模式，实现了只用数据包头部信息就能进行精确的流量分类。Hernandez-Campos等人、Stolfo等人提出的通信模式和行为轮廓的研究工作都是关于网络应用级的，而不是广泛的网络流量。Xu等人设计了一个通用的主机行为轮廓，能够简洁、直观地描述用户活动和行为。它定义了基于数据挖掘、熵的方法，针对Internet骨干网流量建立流量通信模式，实验结果表明应用网络行为轮廓的方法可以检测不期望的流量和异常。Lakhina等人的研究与建立网络行为轮廓的思路相似，通过分析网络流量的特征分布实现自动化分类方法识别流量异常。所提出的基于主机网络行为轮廓提供了一个通用的框架来分析网络个体行为，对前期Lakhina等人对网络流量特征分布的研究工作进行了扩展。这些方法将流量汇聚到主机层面，通过分析数据中连接、开放端口和应用协议等网络行为特性发现是否存在异常流量，这也是本书研究的内容。

综上所述，已有多种异常检测方法，不同的检测方法采用了一种或多种数据源分析网络个体行为规律，但要部署代理软件采集数据，具有平台依赖性；针对网络个体行为特征的研究，忽略了特征值之间的相关性，以及特征值与时间的相关性；其次分析发现现有网络个体行为异常检测研究，主要是对主机应用分类或检测已知攻击，而针对网络个体行为特征及其时序属性扰动的异常检测研究很少涉及。